Compartir
Wanna Cry: verdades, mentiras y seguridad
Wanna Cry: verdades, mentiras y seguridad, donde nada es lo que parece.

Ransomware: se trata de un malware que bloquea los ordenadores personales y dispositivos móviles (tablets y smartphones) o cifra los archivos de los PCs infectados para impedir el acceso al usuario al cual le envían un mensaje pidiendo X cantidad de € o dólares para desbloquear el equipo y recuperar los datos. Este bloqueo no supone una fuga de datos… Teoricamente.

Este tipo de ataques e infecciones (muy comunes) se propagan y producen a través de emails en los que se remiten enlaces a páginas webs falsas o descargas de ficheros adjuntos. Estos ataques son la amenaza real que tanto usuarios privados como organizaciones (más o menos complejas como pueden ser instituciones públicas, grandes infraestructuras…) que exigen una contínua actualziación de software (y a veces incluso de hardware) y un coste muy elevado en recursos o si hay fallos en reputación.

El Instituto Nacional de Ciberseguridad (Incibe) estima que gracias a las actividades ilícitas a través de internet en todo el mundo, se mueven más de un billón de € al año. Teniendo en cuenta que el primer ransomware nació en 1.986, y que hasta 2.005 no se utilizó para la extorsión, a día de hoy podemos decir que a pesar de las múltiples formas que tiene y las distintas plataformas a las que ataca, existen 5 tipos de ransomware, cada uno con sus propias variantes… en resumen: más allá de los 50 tipos diferentes de ransomware.

El problema no ha sido ni está siendo el propio ransomware ya que en la cultura general de los usuarios de Internet y Windows, se tiene el dicho Si algo funciona, ¿por qué cambiarlo? Todo ello pese a no tener soporte ni actualizaciones, o hacer caso omiso a las contínuas recomendaciones de las propias compañías de software…

Un claro ejemplo son las compañías y particulares que a día de hoy aún siguen utilzando Windows XP como sistema operativo, a sabiendas que el 8 de abril de 2.014 Microsoft dejó de prestar soporte a la versión 13 años después de su lanzamiento.

Existe casos claros:

  • cajeros automáticos, donde la supervivencia del software prima sobre lo demás, tal y como reconocen diversos fabricantes, prorrogando el ciclo de vida de una de las versiones de Windows XP: Embedded (hasta el año 2.019, fecha tope para terminar de migrar todos los sistemas)
  • universidades españolas, donde aún a día de hoy se sigue utilizando software que únicamente trabaja bajo este sistema operativo y donde cuantas más máquinas posean el mismo sistema, más fácil será mantene todo el parque informático
  • organismos públicos e intranets estatales (Lexnet, etc), donde ni siquiera el propio departamento de sistemas ni el SAT estatal son capaces de dar soporte más allá de las versiones Windows Millenium
  • laboratorios, donde aplicaciones específicas impiden que se puedan renovar los sistemas ya que se pierden o revocan las licencias

El problema es que no sólo se migra de Windows XP a versiones superiores… necesitamos la renovación de todo el software y hardware para que las nuevas versiones de Windows corran en los PCs, muchos de ellos ya obsoletos y desfasados más de 15 años. Aún así, algunos usuarios se resisten al cambio, incluso cuando hay fallos.

El último virus lanzado al mundo, el Wanna Cry (también conocido como Wanna Decrypt0r o WCry entre otros), afecta desde el pasado día 12 de mayo a una media de 200.000 PCs de todo el mundo utilizando herramientas informáticas robadas a la Agencia de Seguridad Nacional (NSA), una gran llamada de atención sobre los métodos de acumulación de vulnerabilidades en todos los países afectados, representando 2 amenazas a la ciberseguridad:

  • actuaciones estatales de cada país
  • actuaciones criminales organizadas

A estas alturas, expertos a lo largo y ancho del mundo está estudiando el código para hallar al país o grupo responsable (a día de hoy todo apunta a Corea del Norte, aunque no es 100% fiable). El código presenta un backdoor (puerta trasera) llamado Contopee, desarrollado por Lazaru Group en el año 2.015, algo que parece ser que está volviendo a suceder: al decompilar los códigos de Contopee y WannaCry, el funcionamiento de ambos es idéndico en parte de ambos malware.

A día de hoy, el ataque sigue actuando y propagándose, a pesar que se ha encontrado un segundo interruptor de desactivación (killswitch) que ha logrado frenar momentaneamente su rápido avance.

A pesar las grandiosas pérdidas económicas que WannaCry está creando, no es ni será el primer y último virus que ha generado gastos:

  • Melissa (1.999): Provocó 1.200 millones de dólares en daños. Efectos sobre los documentos de Microsoft Word infectados a través de Microsoft Outlook, entregando mensajes de email con el virus a toda la lista de contactos de Outlook con un mensaje: Aquí tienes el documento que me pediste . No se lo enseñes a nadie”.
  • ILOVEYOU (2.000): afectó a más de 500.000 sistemas, dando lugar a más de 15.000 millones de dólares en daños (incluidos los 5.5000 millones de dólares durante su primera semana de vida). Efectos de autoreplicación y exposición de contactos del PC. Obstenta el honor de ser el primer virus que se pudo enviar como adjunto por email.
  • SirCam (2.001): virus de tipo gusano que provocó más de 1.000 millones de dólares en daños. Efectos sobre el comprometimiento de información confidencial, borrado de elementos u ocupación de espacio en el disco duro hasta saturarlo.
  • Nimda (2.001): uno de los más extendidos que provocó daños por valor de 635 millones de dólares. Efectos sobre el tiempo de exploración de Internet (ralentización muy significativa), además de afectar a usuarios de cuentas de email y enviar un archivo de lectura a todos los contactos de la libreta de direcciones.
  • Code Red (2.001): Más de 2.000 millones de dólares en daños. Efectos de explotación de las debilidades de los programas de Microsoft, con su respectiva búsqueda en red de nuevos PCs.
  • SQL Slammer (2.003): virus que afectó a bancos y que provocó que la velocidad de Internet se ralentizara de forma significativa en todo el mundo con más de 750 millones de dólares en daños y 200.000 PCs afectados en todo el mundo.
  • SoBig (2.003): 37.000 millones de dólares de pérdidas. Circuló por email como correo no deseado vírico,con plena capacidad para copiar archivos, enviarse a sí mismo por email a otras personas y ocasionar graves daños a los programas informáticos y ordenadores gracias a su rápida expansión.
  • MyDoom (2004): 38.000 millones de dólares en pérdidas. Efectos de gran alcance y rápida expansión. Creaban puertas traseras en las redes que facilitaban el acceso ilícito.
  • Stuxnet (2011): creado por USA e Israel para sabotear el programa nuclear iraní y descrito por la prensa como un prototipo funcional y aterrador de un arma cibernética que conducirá a la creación de una nueva carrera armamentística mundial. Efectos sin precedentes en lo estratégico y una nueva amenaza para la economía y la seguridad global.

Por otro lado, se han robado más de 560 millones de usuarios y sus respectivos passwords agrupadas por Troy Hunt (accede al site) en 313 bases de datos de más de 1Gb cada una con datos extraídos de Spotify, Dropbox, LinkedIn, Mega, Tumblr, Adobe, MySpace, Badoo….

A día de hoy, ya tenemos la solución para estos virus, incluidas 2 posibles herramientas de desencriptación para WannaCry:

  • Wanakiwi: aunque no funciona para todos los casos, es una de las mejores valoradas por los expertos.
  • Telefonica WannaCry FileRestorer: script de PowerShell que nos permitirá recuperar y restaurar los archivos temporales con extensión WNCRYPT. Esta herramienta ha sido desarrollado por Chema Alonso (Telefónica) y ElevenPaths.
  • Check EternalBlue: herramienta que permite comprobar si un ordenador está expuesto al agujero de seguridad de EternalBlue, el agujero de seguridad que ha aprovechado el ataque.

Fuentes: Xataka, Elevenpaths, Computer Hoy, La Voz de Galicia, MSN, El Espectador, El País (Internacional), Avast! , Diario El Correo

SIN COMENTARIOS

DEJA UNA RESPUESTA